數(shù)據(jù)中心虛擬化是指采用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池，主要包括計算、存儲、網(wǎng)絡(luò)三種資源。虛擬化后的數(shù)據(jù)中心不再象傳統(tǒng)數(shù)據(jù)中心那樣割裂的看待某臺設(shè)備或某條鏈路，而是將整個數(shù)據(jù)中心的計算、存儲、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施當(dāng)作可按需分割的資源集中調(diào)配。

數(shù)據(jù)中心虛擬化，從主機等計算資源的角度看，包含多合一與一分多兩個方向（如圖1所示），都提供了計算資源被按需調(diào)配的手段。由于虛擬化的數(shù)據(jù)中心是計算、存儲、網(wǎng)絡(luò)三種資源深度融合而成，因此主機虛擬化技術(shù)能夠順利實現(xiàn)必須由合適的網(wǎng)絡(luò)安全策略與之匹配，否則一切都無從談起。前者出現(xiàn)較早，主要包括集群計算等技術(shù)，以提升計算性能為主；而后者主要是近幾年出現(xiàn)的在一臺物理X86系統(tǒng)上的多操作系統(tǒng)同時并存的技術(shù)，以縮短業(yè)務(wù)部署時間，提高資源使用效率為主要目的。

圖1 計算虛擬化的兩種表現(xiàn)形式

虛擬化后數(shù)據(jù)中心面臨的安全問題

傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注業(yè)務(wù)流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即增加網(wǎng)絡(luò)安全策略（如圖2所示），網(wǎng)絡(luò)安全策略能夠滿足主機順暢的加入、離開集群，或者是動態(tài)遷移到其它物理服務(wù)器，并且實現(xiàn)海量用戶、多業(yè)務(wù)的隔離……

圖2 數(shù)據(jù)中心虛擬化安全模型

虛擬化數(shù)據(jù)中心對網(wǎng)絡(luò)安全提出三點需求：

1、在保證不同用戶或不同業(yè)務(wù)之間流量訪問控制，還要支持多租戶能力；

2、網(wǎng)絡(luò)安全策略可支撐計算集群中成員靈活的加入、離開或者遷移；

3、網(wǎng)絡(luò)安全策略可跟隨虛擬機自動遷移。

在上述三個需求中，第一個需求是對現(xiàn)有網(wǎng)絡(luò)安全策略的增強。后兩個需求則需要一些新的規(guī)劃準(zhǔn)則或技術(shù)來實現(xiàn)，這給當(dāng)前網(wǎng)絡(luò)安全策略帶來了挑戰(zhàn)。

應(yīng)對之道

VLAN擴展

虛擬化數(shù)據(jù)中心作為集中資源對外服務(wù)，面對的是成倍增長的用戶，承載的服務(wù)是海量的，尤其是面向公眾用戶的運營云平臺。數(shù)據(jù)中心管理人員不但要考慮云主機（虛擬機或者物理機）的安全，還需要考慮在云平臺中大量用戶、不同業(yè)務(wù)之間的安全識別與隔離。

要實現(xiàn)海量用戶的識別與安全隔離，需要為虛擬化數(shù)據(jù)中心的每一個租戶提供一個唯一的標(biāo)識。目前看開，VLAN是好的選擇，但由于VLAN數(shù)最多只能達(dá)到4096，無法滿足虛擬化數(shù)據(jù)中心業(yè)務(wù)開展，因此需要對VLAN進行擴展。如圖3所示，VLAN擴展的有以下兩個實現(xiàn)途徑。

圖3 VLAN擴展兩種思路

QinQ：采用VLAN嵌套的方式將VLAN的數(shù)量擴展到160萬個。內(nèi)層標(biāo)簽稱為用戶VLAN即C-VLAN，外層標(biāo)簽成為運營VLAN，即S-VLAN，例如100個C-VLAN不同的同一類用戶可以封裝同一個相同S-VLAN，極大的擴展VLAN的數(shù)量。該方法配置簡單，易維護。但其缺點是接入的用戶規(guī)模較小。

VPLS：用戶VLAN封裝在不同VPLAS通道內(nèi)，不同的用戶封裝不同的VPLS通道即可實現(xiàn)海量用戶之間良好的安全控制。其優(yōu)點是接入規(guī)模大，可伸縮性強，易于跨地域數(shù)據(jù)中心之間平滑擴展。不足之處是VPLS會導(dǎo)致數(shù)據(jù)中心內(nèi)配置較復(fù)雜，使數(shù)據(jù)中心之間擴展復(fù)雜度變大。

在實際選擇時，可以根據(jù)數(shù)據(jù)中心對外服務(wù)的業(yè)務(wù)特點，對照上述兩種方式的優(yōu)缺點，選擇合適的實現(xiàn)方式。

隔離手段與網(wǎng)關(guān)選擇

虛擬化數(shù)據(jù)中心關(guān)注的重點是實現(xiàn)整體資源的靈活調(diào)配，因此在考慮網(wǎng)絡(luò)安全控制時必須考慮網(wǎng)絡(luò)安全能支撐計算資源調(diào)配的靈活性，只有將二者結(jié)合才能實現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全的最佳配置?？紤]虛擬化數(shù)據(jù)中心的安全部署時，建議按照先關(guān)注靈活性、再關(guān)注安全控制的思路進行。

無論是集群計算還是虛擬機遷移都涉及到主機調(diào)配，當(dāng)主機資源在同一個二層網(wǎng)絡(luò)內(nèi)被調(diào)配時，多數(shù)應(yīng)用才能保持連續(xù)性，因此為滿足計算資源的靈活調(diào)配，應(yīng)該構(gòu)建二層網(wǎng)絡(luò)，否則一旦跨網(wǎng)段將導(dǎo)致應(yīng)用中斷或長時間的業(yè)務(wù)影響?？梢?，網(wǎng)絡(luò)安全控制不能阻斷二層網(wǎng)絡(luò)內(nèi)主機的靈活調(diào)配。

基于上述思想，網(wǎng)絡(luò)安全控制點盡量上移，并且服務(wù)器網(wǎng)關(guān)盡量不設(shè)在防火墻上。因為防火墻屬于強控制設(shè)施，網(wǎng)關(guān)一旦在防火墻上靈活性將大大的受到限制。

如圖4所示，以數(shù)據(jù)中心主流的B/S服務(wù)模式為例，網(wǎng)絡(luò)安全策略可按如下規(guī)劃：

圖4 主機網(wǎng)關(guān)地址落點選擇

將二層網(wǎng)絡(luò)向上擴大，創(chuàng)造一個適合主機調(diào)配的二層網(wǎng)絡(luò)環(huán)境。

選擇網(wǎng)關(guān)IP地址的落點與主機分組隔離方案。

圖4左圖方案中不設(shè)置防火墻，主機網(wǎng)關(guān)地址落在匯聚交換機上。承載業(yè)務(wù)的WEB、APP、DB主機劃分為同一個VLAN（即VLAN1）內(nèi)。針對VLAN部署安全策略，忽略交換機端口差異性， WEB、APP、DB之間互訪不受限制。承載WEB、APP、DB的主機可以在VLAN1內(nèi)被靈活調(diào)配。該方案極大的滿足了虛擬化數(shù)據(jù)中心主機調(diào)配的靈活性，但完全忽視了網(wǎng)絡(luò)安全控制，因此適合封閉的內(nèi)部數(shù)據(jù)中心并且追求性能與高效業(yè)務(wù)部署，如互聯(lián)網(wǎng)企業(yè)的大型虛擬化數(shù)據(jù)中心。

圖4右圖為得到普遍應(yīng)用的虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全方案。承載業(yè)務(wù)的WEB、APP、DB主機劃分為三個VLAN內(nèi)，屬于相同VLAN內(nèi)的主機可在對應(yīng)的二層網(wǎng)絡(luò)內(nèi)靈活調(diào)配。以下重點討論主機網(wǎng)關(guān)設(shè)在不同位置時如何實現(xiàn)WEB、APP、DB之間互訪控制。

主機網(wǎng)關(guān)設(shè)在防火墻上

服務(wù)器群的網(wǎng)關(guān)設(shè)在防火墻上，防火墻通過VRRP提供冗余，冗余備份組通過靜態(tài)路由下一跳指向IRF2交換機三層接口，防火墻進行虛擬化，分割成多個防火墻實例提供網(wǎng)絡(luò)安全服務(wù)，對每塊防火墻劃分三個邏輯實例，每一對虛擬防火墻工作在主備方式；可工作在雙主用模式，防火墻實例分布在兩臺上面，從而達(dá)到負(fù)載分擔(dān)和冗余備份的能力。此時，三組服務(wù)器的網(wǎng)關(guān)地址各不相同，各組服務(wù)器內(nèi)的虛擬機只能在本VLAN內(nèi)遷移，如WEB、APP、DB三種服務(wù)器分別對應(yīng)在VLAN 2、VLAN3、VLAN4內(nèi)。防火墻做服務(wù)器網(wǎng)關(guān)，L2分區(qū)之間互訪必須經(jīng)由防火墻對互訪流量做狀態(tài)檢測，并WEB、APP、DB之間完全由防火墻實現(xiàn)訪問控制，屬于強隔離措施。

此方式適合業(yè)務(wù)相對穩(wěn)定，流量模型固定的業(yè)務(wù)；并且業(yè)務(wù)之間隔離度高的環(huán)境。如銀行的核心信貸、資金管理系統(tǒng)，企業(yè)的ERP系統(tǒng)等。

主機網(wǎng)關(guān)設(shè)在匯聚交換機上

采用IRF2后匯聚交換機仍然是L2與L3的分界點，面向服務(wù)器一側(cè)工作在三層模式，面向網(wǎng)絡(luò)一側(cè)工作在二層模式。匯聚交換機作為WEB/AP/DB服務(wù)器的網(wǎng)關(guān)，WEB/AP/DB服務(wù)器二層分區(qū)之間互訪經(jīng)由匯聚交換機ACL做訪問控制；防火墻作為邊界安全控制設(shè)備。

將防火墻和交換機劃分VRF（虛擬路由轉(zhuǎn)發(fā)表），同一業(yè)務(wù)在同一VRF內(nèi)，WEB/APP/DB則分布到同一VRF的不同二層分區(qū)內(nèi)。同一業(yè)務(wù)的WEB/APP/DB通過交換機三層轉(zhuǎn)發(fā)訪問，并以ACL進行訪問控制；不同業(yè)務(wù)之間的訪問，跨VRF通過防火墻控制。另外，對于某個三層接口（網(wǎng)段），當(dāng)需要訪問另一個網(wǎng)段并且需要經(jīng)過防火墻時，就配置一條以防火墻為下一跳的“弱策略路由”，當(dāng)防火墻失效，則該策略路由也失效。在緊急情況，旁路防火墻，即可保證網(wǎng)絡(luò)的聯(lián)通狀態(tài)。

此方式適合虛擬化環(huán)境下虛擬機遷移的需求，對業(yè)務(wù)調(diào)整頻繁的業(yè)務(wù)是一種很好的應(yīng)對策略，同時，由于不同應(yīng)用之間的隔離采用交換機ACL實現(xiàn)，因此適合業(yè)務(wù)安全隔離要求一般，主機調(diào)配靈活性要求稍高的環(huán)境。如大企業(yè)的業(yè)務(wù)開發(fā)中心等。

安全策略動態(tài)遷移

虛擬化數(shù)據(jù)中新帶來的大挑戰(zhàn)就是網(wǎng)絡(luò)安全策略要跟隨虛擬機自動遷移。在創(chuàng)建虛擬機或虛擬機遷移時，虛擬機主機需要能夠正常運行，除了在服務(wù)器上的資源合理調(diào)度，其網(wǎng)絡(luò)連接的合理調(diào)度也是必須的。

圖5 網(wǎng)絡(luò)安全配置自動遷移

如圖5所示，虛擬機1從pSrv1上遷移到pSrv2上，其網(wǎng)絡(luò)連接從原來的由pSRV1上vSwitchA的某個端口組接入到Edge Switch1，變成由pSRV2上vSwitchB的某個端口組接入到Edge Switch2.若遷移后對應(yīng)的Edge Switch的網(wǎng)絡(luò)安全配置不合適，會造成虛擬機1遷移后不能正常使用。尤其是原先對虛擬機1的訪問設(shè)置了安全隔離ACL，以屏蔽非法訪問保障虛擬機1上業(yè)務(wù)運行服務(wù)質(zhì)量。因此在發(fā)生虛擬機創(chuàng)建或遷移時，需要同步調(diào)整相關(guān)的網(wǎng)絡(luò)安全配置。并且，為了保證虛擬機的業(yè)務(wù)連續(xù)性，除了虛擬化軟件能保證虛擬機在服務(wù)器上的快速遷移，相應(yīng)的網(wǎng)絡(luò)連接配置遷移也需要實時完成。即網(wǎng)絡(luò)具有“隨需而動”的自動化能力。

但在VEB vSwtich模式下，通常會出現(xiàn)多個虛擬機的配置都重復(fù)下發(fā)到一個物理接口上，很難做到針對每一個虛擬機的精細(xì)化網(wǎng)絡(luò)安全配置管理。因此只有先精細(xì)化區(qū)分流量（比如源IP、源MAC、VLAN等），再進行針對性的網(wǎng)絡(luò)安全配置遷移與本地配置自動化去部署。目前業(yè)界最優(yōu)的解決方法就是在主機鄰接物理交換機采用vPort的概念。一個虛擬機幫定一個或幾個特定的vPort，虛擬機遷移時，只需在對應(yīng)的鄰接物理交換機上將虛擬機對應(yīng)的網(wǎng)絡(luò)配置Profile綁定到vPort上即可，而不會對其它虛擬機的vPort產(chǎn)生影響。

目前正在形成標(biāo)準(zhǔn)的VDP方案對網(wǎng)絡(luò)安全配置自動遷移提供了良好的支撐能力。

鄰接交換機使用VDP協(xié)議發(fā)現(xiàn)虛擬機實例，并向網(wǎng)管系統(tǒng)獲取對應(yīng)的網(wǎng)絡(luò)安全配置Profile并部署到相應(yīng)的vPort接口上。同時，虛擬機遷移前的接入位置物理交換機也會通過VDP解關(guān)聯(lián)通告，去部署相應(yīng)的profile對應(yīng)的本地配置。加入VDP后，完全不依賴網(wǎng)管系統(tǒng)對虛擬機接入物理網(wǎng)絡(luò)的定位能力，提高網(wǎng)絡(luò)配置遷移的準(zhǔn)確性和實時性。

虛擬化數(shù)據(jù)中心是當(dāng)前與未來的發(fā)展方向，而網(wǎng)絡(luò)安全作為基礎(chǔ)的承載保障平臺面臨一些新的挑戰(zhàn)，一方面我們對現(xiàn)有技術(shù)進行優(yōu)化改進以適應(yīng)這種挑戰(zhàn)，另一方面新技術(shù)與方案也在不斷的出現(xiàn)來應(yīng)對挑戰(zhàn)。只有這樣才能多快好省的構(gòu)造虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全。